Falešné e -maily - Email spoofing

Část série na
Informační bezpečnost
Související kategorie zabezpečení
Zabezpečení automobilů Kyberzločin Obchodování s Cybersexem Počítačový podvod Cybergeddon Kyberterorismus Kybernetická válka Elektronická válka Informační válka Internetová bezpečnost Zabezpečení mobilu Zabezpečení sítě Ochrana proti kopírování Správa digitálních práv
Hrozby
Adware Pokročilá trvalá hrozba Libovolné spuštění kódu Zadní vrátka Hardwarová zadní vrátka Vložení kódu Crimeware Skriptování mezi weby Cryptojacking malware Botnety Únik dat Stahování za jízdy objekty pomocníka prohlížeče Počítačová kriminalita Viry Škrábání dat Odmítnutí služby Odposlech E -mailové podvody Falešné e -maily Exploity Keyloggery Logické bomby Časované bomby Vidlicové bomby Bomby na zip Podvodné číselníky Malware Užitečné zatížení Phishing Polymorfní motor Zvýšení oprávnění Ransomware Rootkity Bootkity Strašidlo Shellcode Spamování Sociální inženýrství (bezpečnost) Škrábání obrazovky Spyware Softwarové chyby Trojské koně Hardwarové trojské koně Vzdálený přístup trojské koně Zranitelnost Webové skořápky Stěrač Červi SQL injekce Podvodný bezpečnostní software Zombie
Obrany
Zabezpečení aplikace Bezpečné kódování Zabezpečit ve výchozím nastavení Zabezpečené designem Případ zneužití Řízení přístupu k počítači Ověření Vícefaktorová autentizace Oprávnění Počítačový bezpečnostní software Antivirový software Operační systém zaměřený na zabezpečení Zabezpečení zaměřené na data Obfuskace kódu Šifrování Firewall Systém detekce vniknutí Hostitelský systém detekce narušení (HIDS) Detekce anomálií Bezpečnostní informace a správa událostí (SIEM) Mobilní zabezpečená brána Vlastní ochrana běhové aplikace
proti t E

E -mailové spoofing je vytváření e -mailových zpráv s padělanou adresou odesílatele.

Původní přenosové protokoly používané pro e-maily nemají vestavěné metody ověřování: tento nedostatek umožňuje spamovým a phishingovým e-mailům používat podvržení za účelem uvedení v omyl příjemce. Novější protiopatření takové falšování z internetových zdrojů ztěžovaly, ale ne odstranily; jen málo interních sítí má ochranu před falešným e -mailem z kompromitovaného počítače kolegy v této síti.

Technické údaje

Když je odeslán e -mail SMTP (Simple Mail Transfer Protocol) , počáteční připojení poskytuje dvě informace o adrese:

• MAIL FROM: - obvykle se zobrazuje příjemci jako záhlaví Return -path :, ale není obvykle viditelný pro koncového uživatele a ve výchozím nastavení se neprovádí žádná kontrola, zda je odesílající systém oprávněn odesílat jménem této adresy.
• RCPT TO: - určuje, na kterou e -mailovou adresu je e -mail doručen, není obvykle viditelný pro koncového uživatele, ale může být přítomen v záhlaví jako součást záhlaví „Přijato:“.

Společně se jim někdy říká adresování „obálek“ - analogie k tradiční papírové obálce . Pokud přijímající poštovní server nesignalizuje, že má problémy s některou z těchto položek, odesílající systém odešle příkaz „DATA“ a obvykle odešle několik položek záhlaví, včetně:

• Od: Joe Q Doe <joeqdoe@example.com> - adresa viditelná pro příjemce; ve výchozím nastavení se však neprovádí žádná kontrola, zda je odesílající systém oprávněn odesílat jménem této adresy.
• Odpověď: Jane Roe <Jane.Roe@example.mil> - podobně není zaškrtnuto

a někdy:

• Odesílatel: Jin Jo <jin.jo@example.jp> - také není zaškrtnuto

Výsledkem je, že příjemce e -mailu vidí e -mail jako odeslaný z adresy v záhlaví Od:. Mohou být někdy schopni najít MAIL FROM adresy, a v případě, že odpověď na e-mail, že půjde buď na adresu předloženo v Z: a Reply-To: hlavičky, ale žádný z těchto adres jsou obvykle spolehlivé, takže automatizovaný odskočit zprávy mohou generovat zpětný rozptyl .

Přestože je falšování e -mailů účinné při falšování e -mailové adresy, IP adresu počítače odesílajícího poštu lze obecně identifikovat z řádků „Přijato:“ v záhlaví e -mailu. Ve škodlivých případech se však pravděpodobně jedná o počítač nevinné třetí strany nakažený malwarem, který odesílá e -mail bez vědomí vlastníka.

Zlomyseľné používání podvádění

Podvody typu phishing a kompromisy týkající se obchodního e -mailu obecně zahrnují prvek falšování e -mailů.

E -mailové spoofing byl zodpovědný za veřejné incidenty s vážnými obchodními a finančními důsledky. To byl případ e -mailu z října 2013 tiskové agentuře, která byla podvržená, aby vypadala jako od švédské společnosti Fingerprint Cards . V e -mailu bylo uvedeno, že společnost Samsung nabídla koupi společnosti. Zprávy se rozšířily a kurz burzy stoupl o 50%.

Malware, jako je Klez a Sober mezi mnoho dalších moderních příkladů často vyhledávat e-mailové adresy v počítači mají infikované, a oni používají tyto adresy a to jak jako cíle pro e-maily, ale také vytvořit věrohodný kovaný Z polí v e-mailech, které posílají. Tím se zajistí větší pravděpodobnost otevření e -mailů. Například:

1. Alice je odeslán infikovaný e -mail, který otevře a spustí červový kód.
2. Červový kód prohledá Alicin e -mailový adresář a najde adresy Boba a Charlieho.
3. Z Aliceinho počítače červ pošle Bobovi infikovaný e -mail, ale je vytvořen tak, aby vypadal, jako by ho poslal Charlie.

V tomto případě, i když Bobův systém detekuje příchozí poštu jako obsahující malware, vidí zdroj jako Charlie, přestože skutečně pochází z Alicina počítače. Mezitím Alice nemusí zůstat informována o tom, že její počítač byl infikován, a Charlie o tom vůbec nic neví, pokud neobdrží chybové hlášení od Boba.

Jak se falšování e -mailů liší od spamu a phishingu e -mailů?

Hlavní rozdíl mezi nevyžádanou poštou a falešnou zprávou je, že spammeři neupravují záhlaví e -mailů, aby předstírali, že byl e -mail odeslán od někoho jiného. E -maily s phishingem i podvržením mají za cíl oklamat někoho, aby věřil, že zpráva byla odeslána od legitimního odesílatele. Hlavním záměrem phisherů je však kompromitovat osobní a finanční údaje uživatelů, zatímco falšování e -mailů je jen jedním ze způsobů, jak toho používají.

Legální použití

Na počátku internetu byl „legitimně falešný“ e -mail běžný. Hostující uživatel může například použít server SMTP místní organizace k odesílání e -mailů ze zahraniční adresy uživatele. Protože většina serverů byla konfigurována jako „ otevřená relé “, byla to běžná praxe. Jak se nevyžádaná pošta stala otravným problémem, tyto druhy „legitimního“ použití upadly v nemilost. Příkladem legitimního falšování by mohl být scénář, kdy systém pro řízení vztahů se zákazníky obdrží e -mail z webové stránky, a aby bylo možné přihlásit příchozí e -mail a vytvořit profil pro e -mail, který je přidružen k novému kontaktu, systém by byl nakonfigurován použít „odesílatele“ e -mailu k vytvoření profilu potenciálního zákazníka se jménem a e -mailovou adresou odesílatele. Web pro odesílání by byl nakonfigurován tak, aby falšoval odchozí e -maily z webu a odesílal e -maily způsobem, který by způsobil, že přijde od odesílatele s informacemi o odesílateli jako jménem odesílatele a e -mailovou adresou. Systém by jej poté zaznamenal jako nakonfigurovaný.

Pokud spolu více softwarových systémů komunikuje prostřednictvím e -mailu, může být k usnadnění takové komunikace vyžadováno podvržení. V každém scénáři, kde je nastavena e -mailová adresa pro automatické přeposílání příchozích e -mailů do systému, který přijímá pouze e -maily z předávání e -mailů, je k zajištění tohoto chování nutné podvržení. To je běžné mezi systémy prodeje jízdenek, které komunikují s jinými systémy prodeje jízdenek.

Účinek na poštovní servery

Poštovní servery tradičně mohly přijímat poštovní zásilky, poté poslat zprávu o nedoručení nebo zprávu „odskočit“, pokud ji nebylo možné doručit nebo byla z jakéhokoli důvodu umístěna do karantény. Ty budou odeslány na adresu „MAIL FROM:“ neboli „Zpáteční cesta“. S masivním nárůstem padělaných adresách, nejlepší praxe je nyní není generování zpráv NDR pro detekovaný spam, viry atd., Ale odmítnout e-mailu během transakce SMTP. Když správci pošty tento přístup nezachytí, jejich systémy se proviní tím, že rozesílají e -maily „ zpětného rozptylu “ nevinným stranám - což je samo o sobě forma spamu - nebo jsou používány k provádění útoků typu „ Joe Job “.

Protiopatření

Systém SSL/TLS používaný k šifrování e-mailového provozu server-to-server lze také použít k vynucení autentizace, ale v praxi se používá jen zřídka a řada dalších potenciálních řešení také nezískala trakci.

V současné době je však široce používána řada obranných systémů, včetně:

• Sender Policy Framework (SPF) - metoda ověřování e -mailu určená k detekci padělání adres odesilatelů během doručování e -mailu.
• DomainKeys Identified Mail  - metoda ověřování e -mailů určená k detekci padělaných adres odesilatelů v e -mailu (spoofing e -mailů), což je technika často používaná při phishingu a e -mailovém spamu .
• DMARC-  (Domain-based Message Authentication, Reporting and Conformance), an email authentication protocol. Je navržen tak, aby poskytl vlastníkům e -mailových domén možnost chránit jejich doménu před neoprávněným použitím, běžně známým jako podvržení e -mailu. Smyslem a hlavním výsledkem provádění DMARC je chránit domény byly použity v pracovní e-mailové kompromisních útoky , phishing e-maily, e-mailových podvodů a jiných kybernetické hrozby aktivit.

Aby bylo možné účinně zastavit doručování padělaných e -mailů, musí být odesílající domény, jejich poštovní servery a přijímací systém správně nakonfigurovány pro tyto vyšší standardy ověřování. Přestože se jejich používání zvyšuje, odhady se velmi liší v tom, jaké procento e -mailů nemá žádnou formu ověřování domény: od 8,6% do „téměř poloviny“. Z tohoto důvodu mají přijímací poštovní systémy obvykle řadu nastavení, která konfigurují, jak zacházejí se špatně konfigurovanými doménami nebo e-maily.

Viz také

• Řetězový dopis  - dopis napsaný za sebou skupinou lidí
• Počítačový virus  - Počítačový program, který upravuje jiné programy tak, aby se replikovaly a šířily
• Počítačový červ  - Samostatný počítačový program s malwarem, který se sám replikuje, aby se rozšířil do dalších počítačů
• Falešné doménové jméno
• Ověření e -mailu  - techniky zaměřené na poskytování ověřitelných informací o původu e -mailových zpráv
• Hoax  - záměrně vymyšlená lež, která byla vydávána za pravdu
• Joe job  -spamovací technika, která rozesílá nevyžádané e-maily pomocí falešných údajů o odesílateli
• Žertovný hovor  - hovor, jehož cílem je žertovat osobu, která odpoví
• Spoofing webu  - Vytvoření webu jako podvodu se záměrem uvést čtenáře v omyl

Reference

externí odkazy

• „Technický tip 2002: Falešný/padělaný e -mail“ . Digitální knihovna SEI . Univerzita Carnegie Mellon. 2002-01-01 . Citováno 2019-12-19 .